取消
普通评论
普通评论

信息安全周报|隐私数据问题引担忧 网络安全监管将迎突破

韩希宇中国电子银行网2019-02-15 10:22
网络安全漏洞
信息安全 收藏

  国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞205个,互联网上出现“MicrosoftWindows .CONTACT File/HTML InjectionMailto:远程代码执行漏洞、Allen-Bradley PowerMonitor 1000跨站脚本漏洞”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为中。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。

  一周行业要闻速览

  数据安全问题引担忧 如何给用户一颗“定心丸”?

  在数据安全的风险挑战下,全球已经进入空前重视个人数据与隐私保护的时代。我国已经把《个人信息保护法》纳入立法规划,公安部也开展了首次针对大数据安全的整治工作。>>详细

  App违规授权成重灾区 网络安全立法酝酿大突破

  在这一过程中,还需进一步确定一个国家机关来专门负责“自然人信息保护”工作,同时也需要对《行政处罚法》《网络安全法》等再做相应具体修改,有专家还建议单独制定一部《自然人信息保护法》。>>详细

  专家:辩证看待“隐私换便利” 实现数据合规使用

  受访专家多数认同,用户享受了大数据带来的便利,但这并不应是简单的“用隐私换便利”。尤其是对于某些所谓的“大数据杀熟”、“贩卖用户隐私数据”等现象,有关部门更应加以规范引导,并适时修订、制定“严刑峻法”予以制裁。>>详细

  苹果企业开发者证书遭利用 盗版商发布破解版iPhone应用

  非法软件分销商TutuApp、Panda Helper、AppValley及TweakBox已找到方法来利用数字证书访问苹果面向企业推出的一个项目。该项目允许企业在未通过苹果App Store的情况下,可向其员工发布企业应用。>>详细

  信息安全人人平等 谷歌推出低性能安卓手机加密技术

  数据加密是一种保护个人信息免受窃取的防卫技术,Adiantum的设计目的是加密安卓手机上的存储信息,以确保用户文件的安全性和隐私性。>>详细

  谷歌迈出了“干掉”URL的第一步

  在湾区Enigma安全会议的一次演讲中,Chrome可用性安全主管Emily Stark便再次提及了这项富有争议的想法,并详细介绍了Google为实现这一目标正在进行的一系列重大变革。>>详细

  区块链正在应用于正在兴起的网络安全运动

  尽管有关加密货币和交易所的黑客和欺骗的新闻铺天盖地,但事实仍然是,真正的区块链在其不可改变和无法破解的本质中仍未被破坏。>>详细

  首例技术定位侵犯公民个人信息案侦破后 黑市仍在叫卖

  近日,江苏南京警方破获一起通过技术定位,侵犯公民个人信息案,这起案件在全国也属首例。去年1月,陈某在饭店吃饭时被讨债人围堵,随后陈某报案,警方调查发现,讨债人是通过一款即时定位软件找到的陈某。>>详细

  白帽黑客展示了内置Wi-Fi的恶意Lightning数据线

  一名黑客利用一个隐藏的Wi-Fi芯片开发了一种验证概念的Lightning数据线,以说明不受信任的附件可能带来的威胁,该芯片可以让黑客获得对Mac的控制权。>>详细

  技术观澜

  HTTP/3来啦 你还在等什么?赶紧了解一下

  当IETF开始进行协议标准化工作时,协议被分为两层:传输部分和HTTP部分。这个想法的初衷是考虑到该传输协议也可用于传输其他数据,而不仅仅用于HTTP或类HTTP协议,但名字仍然为QUIC。>>详细

  安全威胁播报

  上周漏洞基本情况

  上周(2019年01月28日-2019年02月10日)信息安全漏洞威胁整体评价级别为中。

  国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞205个,其中高危漏洞51个、中危漏洞134个、低危漏洞20个。漏洞平均分值为5.80。上周收录的漏洞中,涉及0day漏洞68个(占33%),其中互联网上出现“MicrosoftWindows.CONTACT File/HTML InjectionMailto:远程代码执行漏洞、Allen-Bradley PowerMonitor1000跨站脚本漏洞”等零日代码攻击漏洞。

  上周重要漏洞安全告警

  Google产品安全漏洞

  Android是美国谷歌(Google)公司和开放手持设备联盟(简称OHA)共同开发的一套以Linux为基础的开源操作系统。上周,上述产品被披露存在权限提升和拒绝服务漏洞,攻击者可利用漏洞提升权限,造成拒绝服务。

  CNVD收录的相关漏洞包括:Google Android System权限提升漏洞(CNVD-2019-03705、CNVD-2019-03707、CNVD-2019-03706、CNVD-2019-03708)、Google Android System组件权限提升漏洞(CNVD-2019-03702、CNVD-2019-03709、CNVD-2019-03710、CNVD-2019-03711)。目前,厂商已经发布了上述漏洞的修补程序。

  Apple产品安全漏洞

  Apple iOS为移动设备所开发的一套操作系统;macOS High Sierra是为Mac计算机所开发的一套专用操作系统;tvOS是一套智能电视操作系统。Safari是一款Web浏览器,是Mac OSX和iOS操作系统附带的默认浏览器。watchOS是一套智能手表操作系统。iCloudfor Windows是一款基于Windows平台的云服务。上周,上述产品被披露存在缓冲区溢出和内存破坏漏洞,攻击者可利用漏洞执行任意代码(内存破坏)。

  CNVD收录的相关漏洞包括:多款Apple产品FaceTime缓冲区溢出漏洞、多款Apple产品Kernel缓冲区溢出漏洞、多款Apple产品SQLite内存破坏漏洞、多款Apple产品WebKit内存破坏漏洞(CNVD-2019-03295、CNVD-2019-03296、CNVD-2019-03315、CNVD-2019-03316、CNVD-2019-03317)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  HDF5产品安全漏洞

  HDF5是一套免费的用于管理存储不同类型数据的工具套件,它能够管理、操作、查看、分析数据,并生成可移植格式的文件。上周,上述产品被披露存在多个漏洞,攻击者可利用漏洞造成堆缓冲区越界读取,发起拒绝服务攻击。

  CNVD收录的相关漏洞包括:HDF5缓冲区越界读取漏洞、HDF5空指针解引用漏洞(CNVD-2019-03443)、HDF5越界读取漏洞(CNVD-2019-03449)、HDF5拒绝服务漏洞、HDF5缓冲区溢出漏洞(CNVD-2019-03450、CNVD-2019-03453、CNVD-2019-03454、CNVD-2019-03455)。目前,互联网上已经出现了针对上述漏洞的攻击代码,厂商尚未发布上述漏洞的修补程序。

  HPE产品安全漏洞

  HPE Intelligent Management Center(iMC)是一套网络智能管理中心解决方案。HPERESTful Interface Tool是一套可配置、清查和监控各种系统和服务器组件的RESTful界面工具,它支持通过命令工具控制电源、BIOS(传统/UEFI)和iLO 4设置、读取事件日志等,并提供远程身份验证、脚本部署服务器等功能。HPE Storage Works XP7 Automation Director(Auto Dir)是一款Storage Works自动化管理系统。HPE Integrated Lights-Out4(iLO 4)和Integrated Lights-Out 5(iLO5)都是美国惠普企业(Hewlett Packard Enterprise,HPE)公司的内嵌式服务器管理技术,它通过一个集成的远程管理端口,监视和维护服务器的运行状况、远程管控服务器等。

  HPE Network Function Virtualization Director(NFVD)是一套NFV协调解决方案。HPE Central View Fraud Risk Management是一套用于解决欺诈控制问题的端到端解决方案。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码等。

  CNVD收录的相关漏洞包括:HPE Intelligent Management Center远程代码执行漏洞(CNVD-2019-03320)、HPE RESTful Interface Tool权限访问控制漏洞、HPE XP7 Automation Director身份验证绕过漏洞、HPE Integrated Lights Out 4和5for Gen拒绝服务漏洞、HPE Intelligent Management Center PLAT代码执行漏洞、HPE Network Function Virtualization Director信息泄露漏洞、HPE Central View Fraud Risk Management信息泄露漏洞、HPE Central View Fraud Risk Management未授权访问漏洞。其中,除“HPE Network Function Virtualization Director信息泄露漏洞、HPE Central View Fraud Risk Management信息泄露漏洞、HPE Central View Fraud Risk Management未授权访问漏洞”外,其余漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。

  Technicolor DPC3928SL跨站脚本漏洞

  Technicolor DPC3928SL是一款电缆调制解调器。上周,Technicolor DPC3928SL被披露存在跨站脚本漏洞。远程攻击者可借助setSSID利用该漏洞注入任意的Web 脚本或HTML。

  小结

  上周,Google被披露存在权限提升和拒绝服务漏洞,攻击者可利用漏洞提升权限,造成拒绝服务。此外,Apple、HDF5、HPE 等多款产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息,执行任意代码(内存破坏),造成堆缓冲区越界读取,发起拒绝服务攻击等。另外,echnicolor DPC3928SL被披露存在跨站脚本漏洞。远程攻击者可借助setSSID利用该漏洞注入任意的Web脚本或HTML。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。

  中国电子银行网综合CNVD、证券时报、中国之声《新闻纵横》、BiaNews、手机中国、中国IDC圈、安全牛、嘶吼RoarTalk、企鹅号希恩贝塔报道

责任编辑:韩希宇

点击加载

点击加载

发送
普通评论
发送
普通评论
普通评论

为你推荐

暂无相关推荐